Configurando o RBAC para identidades OpenAI do Azure
A atribuição de uma função RBAC (Controle de Acesso Baseado em Função) permite atribuir um conjunto de permissões pré-configuradas a uma identidade. Você pode atribuir identidades tradicionais, como usuários e grupos do Microsoft Entra, a uma função RBAC, bem como identidades especiais, como identidade gerenciada. A prática recomendada é criar um grupo de segurança do Microsoft Entra, atribuir a função ao grupo e, em seguida, adicionar quaisquer identidades às quais você deseja atribuir esses direitos como membros do grupo. Isso simplifica o gerenciamento de funções, pois você pode determinar rapidamente quais permissões uma identidade foi atribuída examinando a associação ao grupo. Ele também ajuda em assinaturas com um grande número de identidades e recursos, pois há limitações quanto ao número de atribuições de função que você pode configurar.
Há quatro funções do Azure OpenAI às quais você pode atribuir identidades: Essas funções são: Usuário do OpenAI dos Serviços Cognitivos, Colaborador do OpenAI dos Serviços Cognitivos, Colaborador dos Serviços Cognitivos e Leitor de Usos dos Serviços Cognitivos.
| Permissões | Utilizador OpenAI dos Serviços Cognitivos | Função de Contribuidor dos Serviços Cognitivos | Colaborador de Serviços Cognitivos | Leitor de Usos de Serviços Cognitivos |
|---|---|---|---|---|
| Exibir o recurso no portal do Azure | ✅ | ✅ | ✅ | ➖ |
| Visualize o ponto de extremidade do recurso em "Chaves e ponto de extremidade" | ✅ | ✅ | ✅ | ➖ |
| Exibir o recurso e as implantações de modelo associadas no Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Exibir quais modelos estão disponíveis para implantação no Azure OpenAI Studio | ✅ | ✅ | ✅ | ➖ |
| Use as experiências de playground de Bate-papo, Conclusão e DALL-E (visualização) com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI. | ✅ | ✅ | ✅ | ➖ |
| Criar ou editar implantações de modelo | ❌ | ✅ | ✅ | ➖ |
| Criar ou implantar modelos personalizados ajustados | ❌ | ✅ | ✅ | ➖ |
| Carregar conjuntos de dados para ajuste fino | ❌ | ✅ | ✅ | ➖ |
| Criar novos recursos do Azure OpenAI | ❌ | ❌ | ✅ | ➖ |
| Ver/Copiar/Regenerar chaves em "Chaves e Ponto de Extremidade" | ❌ | ❌ | ✅ | ➖ |
| Criar filtros de conteúdo personalizados | ❌ | ❌ | ✅ | ➖ |
| Adicione uma fonte de dados para o recurso "em seus dados" | ❌ | ❌ | ✅ | ➖ |
| Quota de acesso | ❌ | ❌ | ❌ | ✅ |
| Fazer chamadas de API de inferência com o Microsoft Entra ID | ✅ | ✅ | ❌ | ➖ |
Utilizador OpenAI dos Serviços Cognitivos
As identidades atribuídas à função de Usuário OpenAI dos Serviços Cognitivos são capazes de executar as seguintes tarefas:
- Exibir o recurso OpenAI do Azure no portal do Azure
- Exibir o ponto de extremidade do recurso OpenAI do Azure em Chaves e Ponto de Extremidade
- Exibir o recurso do Azure OpenAI e implantações de modelo associadas no Azure OpenAI Studio
- Exibir quais modelos estão disponíveis para implantação no Azure OpenAI Studio
- Use as experiências de Bate-papo, Conclusão e playground Dali para gerar texto e imagens com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI
- Os usuários que possuem essa função também podem fazer chamadas de API de inferência com o Microsoft Entra ID
Função de Contribuidor dos Serviços Cognitivos
As identidades atribuídas à função de Colaborador do OpenAI dos Serviços Cognitivos podem executar todas as tarefas disponíveis para um usuário que detém a função de Usuário do OpenAI dos Serviços Cognitivos. Eles também são capazes de executar tarefas, incluindo:
- Crie modelos personalizados e ajustados
- Carregar conjuntos de dados para ajuste fino
- Criar novas implantações de modelo
- Edite implantações de modelos existentes.
Colaborador de Serviços Cognitivos
A função de Colaborador de Serviços Cognitivos normalmente recebe acesso no nível do grupo de recursos para um usuário em conjunto com funções adicionais. Por si só, essa função permitiria que uma identidade executasse as seguintes tarefas:
- Criar novos recursos do Azure OpenAI dentro do grupo de recursos atribuído
- Exibir recursos no grupo de recursos atribuídos no portal do Azure
- Exibir o ponto de extremidade do recurso em Chaves e Ponto de Extremidade
- Exibir, copiar e regenerar chaves em Chaves e Ponto Final
- Use as experiências de Bate-papo, Conclusão e playground Dali para gerar texto e imagens com quaisquer modelos que já tenham sido implantados neste recurso do Azure OpenAI
- Criar filtros de conteúdo personalizados
- Adicionar uma fonte de dados para o recurso Usar seus dados
- Crie implantações de novos modelos ou edite implantações de modelos existentes via API
- Crie modelos ajustados personalizados, carregue conjuntos de dados para ajuste fino
- Criar novas implantações de modelo ou editar implantações de modelo existentes por meio do Azure OpenAI Studio
Leitor de Usos de Serviços Cognitivos
A função Leitor de Usos dos Serviços Cognitivos tem o acesso mínimo necessário para exibir o uso da cota em uma assinatura do Azure. Se você não quiser usar essa função, a função Leitor de assinatura fornece acesso equivalente, mas também concede acesso de leitura além do escopo do que é necessário para a cota de visualização.
Ao atribuir funções a identidades, lembre-se sempre do princípio do menor privilégio em vez do princípio da conveniência do usuário. Se uma pessoa, aplicativo ou serviço exigir apenas a capacidade de executar as tarefas de uma função minimamente provisionada, essa é a função que você deve atribuir a essa identidade. Lembre-se também da prática recomendada de atribuir grupos do Microsoft Entra com nomes significativos a uma função e, em seguida, controlar a associação à função adicionando e removendo usuários desses grupos.
Configurando atribuições de função no portal do Azure
Para habilitar a autenticação sem chave, siga estas etapas para configurar as atribuições de função necessárias:
- Selecione Azure OpenAI: navegue até seu recurso específico do Azure OpenAI no portal do Azure.
- Controle de acesso: selecione a opção Controle de acesso (IAM) no painel de navegação esquerdo.
- Adicionar atribuição de função: selecione Adicionar atribuição de função e, na tela subsequente, escolha a guia Função.
- Selecione Função: escolha a função desejada que deseja atribuir, como Leitor ou Colaborador.
- Guia Membros: na guia Membros, selecione um usuário, grupo, entidade de serviço ou identidade gerenciada para atribuir a função.
- Rever e atribuir: no separador Rever + atribuir, confirme as suas seleções e selecione Rever + atribuir para finalizar a atribuição de funções.
Dentro de alguns minutos, o usuário ou identidade selecionado receberá a função atribuída no escopo escolhido, permitindo que eles acessem os serviços do Azure OpenAI sem precisar de uma chave de API.